Atbilstības ietvari
Aether365 novērtē jūsu Microsoft 365 nomnieku pret četriem atzītiem drosibas ietvariem. Katru ietvaru uztur cita iestāde, un katram ir atšķirīgs fokusa virziens, tvērums un mērķauditorija.
CIS Microsoft 365 Foundations Benchmark
Uztur: Center for Internet Security (CIS) Versija: v3.0 Mērķauditorija: Visas organizācijas, kas izmanto Microsoft 365 Tvērums: Kontu drosiba, Entra ID, Exchange, Teams, SharePoint, audita reģistrēsana
CIS ir visplasāk pieņemtais M365 drosibas etalons. Tas definē skaidru, praktisku kontroļu kopu, katrai ar detalizētiem ieviesanas norādījumiem. Kontroles tiek iedalītas 1. līmenī vai 2. līmenī:
| Līmenis | Apraksts | Kad piemērot |
|---|---|---|
| L1 | Pamata kontroles ar minimālu ietekmi uz darbību | Visas organizācijas |
| L2 | Stingrākas kontroles, kas var ietekmēt lietotāju pieredzi | Drosibas ziņā jutīgas vides |
Pārbaudes ID formāts: CIS.M365.{sadaļa}.{apakšsadaļa}.{elements} - piemēram, CIS.M365.1.1.1
CIS pārbaudes aptver etalona 1. līdz 9. sadaļu, ieskaitot:
- sadaļa: Identitātes un piekļuves pārvaldība
- sadaļa: Microsoft Entra ID
- sadaļa: Microsoft 365 lietojumprogrammas
- sadaļa: Microsoft Teams
- sadaļa: E-pasta drosiba (Exchange Online)
- sadaļa: SharePoint Online
- sadaļa: OneDrive
- sadaļa: Microsoft Defender
- sadaļa: Audita reģistrēsana
EIDSCA (Entra ID Security Config Analyzer)
Uztur: Microsoft un atvērtā pirmkoda kopiena Mērķauditorija: Organizācijas ar nozīmīgu Entra ID lietojumu Tvērums: Padziļināta Entra ID konfigurācija
EIDSCA koncentrējas tieši uz Entra ID (iepriekš Azure Active Directory) un aptver jomas, kuras CIS nerisina tādā pašā dziļumā. Galvenās jomas:
- Autentifikācijas metožu reģistrācija un SSPR politikas
- Nosacītās piekļuves trūkumi un bāzlīnijas politiku pārklājums
- Privileged Identity Management (PIM) konfigurācija
- Tokenu darbības laiki un sesiju kontroles
- Viesu lietotāju un B2B sadarbības iestatījumi
- Ārējo identitātes nodrošinātāju uzticamības iestatījumi
EIDSCA ir īpasi noderīgs, ja jūsu organizācija lielā mērā paļaujas uz Entra ID funkcijām, piemēram, Privileged Identity Management, ārējo sadarbību vai pielāgotas autentifikācijas plūsmas.
Pārbaudes ID formāts: EIDSCA.{kategorija}{numurs} - piemēram, EIDSCA.PR01
CISA SCuBA M365 drosibas bāzlīnija
Uztur: ASV Kiberdrosibas un infrastruktūras drosibas aģentūra (CISA) Versija: Pasreizējā publicētā bāzlīnija Mērķauditorija: ASV federālās aģentūras un organizācijas, kas ar tām sadarbojas; regulētas nozares Tvērums: Pilns M365 produktu klāsts
SCuBA (Secure Cloud Business Applications) ir ASV federālās valdības drosibas bāzlīnija mākoņa produktivitātes platformām. Tā ir strukturēta pēc M365 produkta, nevis pēc kontroles kategorijas:
| Produkts | Pārbaudes aptver |
|---|---|
| Microsoft Entra ID | Identitātes un piekļuves pārvaldība |
| Microsoft Defender for Office 365 | Draudu aizsardzības politikas |
| Exchange Online | E-pasta transports, pret pikšķerēsanu, sifrēsana |
| Microsoft Teams | Ārējā piekļuve, sapulču politikas |
| SharePoint Online un OneDrive | Koplietosana, piekļuves kontrole |
| Microsoft 365 Apps | Makro politikas, papildinājumu pārvaldība |
| Power Platform | Savienotāju politikas (tikai Enterprise) |
SCuBA ir aktuāls arī ārpus ASV federālās vides. Tā skaidrie politiku apgalvojumi un automatizētais pārbaužu formāts padara to par noderīgu bāzlīniju jebkurai organizācijai, kas meklē stingrus, neatkarīgi uzturētus norādījumus.
Pārbaudes ID formāts: MS.{PRODUKTS}.{numurs}.{apakšnumurs} - piemēram, MS.AAD.1.1
NIS2
Uztur: Eiropas Savienība Direktīva: ES 2022/2502 (NIS2) Mērķauditorija: Organizācijas, kas darbojas ES, īpasi būtisku un svarīgu pakalpojumu operatori Tvērums: Tehniskie un organizatoriskie pasākumi saskaņā ar 21. pantu
NIS2 nav tehnisks etalons - tā ir regulatīva direktīva. Aether365 kartē M365 konfigurācijas kontroles uz NIS2 tehniskajām prasībām saskaņā ar 21. pantu, kas nosaka organizācijām veikt atbilstosus pasākumus kiberdrosibas risku pārvaldībai.
NIS2 pārbaudes Aether365 fokusējas uz:
| NIS2 joma | M365 kontroles |
|---|---|
| Piekļuves kontrole un autentifikācija | MFA, privilegētā piekļuve, nosacītā piekļuve |
| Incidentu apstrāde | Audita reģistrēsana, brīdinājumu politikas, drosibas notikumi |
| Darbības nepārtrauktība | Rezerves kopiju un atjaunosanas iestatījumi, datu rezidence |
| Piegādes ķēdes drosiba | Lietojumprogrammu piekrišanas politikas, ārējo savienotāju iestatījumi |
| Kiberhigiēnas pamati | Mantotā autentifikācija, ar ielāpiem saistīti iestatījumi |
NIS2 atbilstības tvērums
Aether365 aptver M365 specifiskās tehniskās kontroles, kas attiecas uz NIS2. Pilna NIS2 atbilstība prasa plasāku tehnisko un organizatorisko pasākumu programmu, kas pārsniedz jūsu M365 konfigurāciju. Aether365 rezultāti nav uzskatāmi par NIS2 atbilstības sertifikāciju.
Ietvaru salīdzinājums
| Dimensija | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Iestāde | CIS | Atvērtais pirmkods / Microsoft | ASV CISA | ES regulējums |
| Fokuss | Plašs M365 | Padziļināts Entra ID | Pēc produkta | Uz risku balstīts regulatīvs |
| Detalizācijas līmenis | Augsts | Ļoti augsts | Augsts | Mērens |
| Piemērots ES organizācijām | Jā | Jā | Jā | Obligāts |
| Piemērots ASV federālajām | Jā | Jā | Obligāts | Nav piemērojams |
| Piemērots visām organizācijām | Jā | Jā | Jā | Ja ES regulēta |
| Pārbaužu skaits Aether365 | ~60 | ~40 | ~50 | ~30 |
Visi ietvari tiek izpildīti kā daļa no atbilstības skenēsanas. Jūs nevarat izvēlēties atsevišķus ietvarus katrai skenēsanai - visas piemērojamās pārbaudes tiek izpildītas kopā, un rezultāti tiek atzīmēti pēc ietvara filtrēsanai.